Pode ser muito cedo para falar sobre as consequências de uma pandemia que ainda não acabou. No entanto, em algumas áreas, como a Segurança da Informação, algumas lições aprendidas podem ser destacadas com base em condições e resultados visíveis.

Embora várias recomendações de segurança já tenham sido abordadas anteriormente, nesta publicação, revisaremos algumas das lições que, dadas as circunstâncias atuais, sua importância é mais evidente e pode ser considerada uma oportunidade de melhoria dentro da crise global que estamos vivendo, embora certamente esse cenário traga mais lições.

1. A necessidade de acelerar os processos de transformação digital

Embora o processo de transformação digital em áreas como trabalho, educação ou entretenimento tenha começado há alguns anos, a pandemia expôs a necessidade de meios alternativos para a realização de atividades diárias, como o teletrabalho ou as aulas virtuais.

Embora na esfera corporativa existam aqueles que já adotaram esses mecanismos como uma opção para desempenhar suas funções, o impacto da crise causada pela Covid-19 teve um baixo impacto em termos de possibilidade de continuidade de suas operações. As empresas que ignoraram ou postergaram a decisão de realizar essa transição digital foram afetadas pela falta de disponibilidade, integridade ou confidencialidade de suas informações.

2. As mudanças podem ser por decisão própria ou por obrigação

As empresas que lançaram processos de transformação e investiram em infraestrutura e medidas de segurança para que seus colaboradores possam realizar suas atividades de praticamente qualquer lugar com acesso à Internet, agora podem ver os benefícios de seu investimento.

As empresas que não migraram para novos modos de operação foram mais impactadas. E, embora haja várias razões que impedem essa transição, seja por manter as condições de trabalho tradicionais, por falta de recursos ou simplesmente por suas atividades dificilmente poderem ser realizadas em locais alternativos, algo que aprendemos como resultado da pandemia é que as mudanças nem sempre ocorrem por decisão própria.

Qualquer que seja o motivo que impediu essas empresas de avançar para um processo de transformação digital, muitas delas se viram de um momento para outro na necessidade de modificar ou criar os processos de maneira inesperada e indesejada, com os riscos que isso supõe.

3. A segurança deve estar em todo lugar, sem qualquer limite físico

O distanciamento social evidenciou uma premissa sobre a qual falamos anteriormente: a segurança deve nos acompanhar em todos os lugares e em todos os momentos. Embora as empresas invistam recursos de todos os tipos para proteger suas informações e infraestrutura tecnológica, às vezes pensam apenas em um espaço físico (por exemplo, um escritório).

As novas condições de trabalho tornam clara a necessidade de mecanismos de proteção (incluindo soluções de segurança e aplicação de boas práticas), em todos os pontos em que os dados são processados, armazenados ou transmitidos.

Os riscos aumentam, já que as informações agora são usadas em redes ou computadores não corporativos. Nesse cenário, as ameaças digitais aparecem sob condições nas quais há menos controles de segurança e provavelmente como resultado de um comportamento mais hostil.

4. As ameaças digitais não estão em estado de isolamento

O isolamento não implica que as ameaças também foram confinadas. O Laboratório de Pesquisa da ESET identificou um grande número de campanhas de malware e phishing que fazem uso da pandemia provocada pela Covid-19, como costuma ser o caso de temas atuais e interessantes.

Além disso, com o avanço da pandemia e a introdução de quarentenas em vários países, as ferramentas para videoconferência passaram a se deparar com um aumento repentino no número de usuários, uma situação que os atacantes não perderam.

Nomes de ferramentas como Zoom, GoToMeeting ou Teams estão sendo usados ​​como isca para propagar arquivos maliciosos entre usuários desprevenidos. Além disso, vulnerabilidades e falhas começaram a ser identificadas em vários desses aplicativos. Em outras palavras, novos riscos apareceram.

5. O impacto dos ataques cibernéticos é cada vez maior

Não é de surpreender que hospitais, assim como empresas ligadas ao setor de saúde, tenham se tornado alvo de ataques por razões como: falta de treinamento sobre segurança digital, vulnerabilidades em software e dispositivos IoT, ou devido à sensibilidade das informações administradas.

Recentemente, foi relatado um aumento nos ataques de ransomware contra hospitais em diferentes países do mundo, bem como um aumento de golpes direcionados a empresas, fornecedores e instituições do setor de saúde. A questão é que, em um contexto como o atual, um ataque digital a esse setor pode ter consequências ainda mais graves.

Não é um dado insignificante o fato de que, em consequência de ataques cibernéticos, vidas humanas estão sendo perdidas. Essa informação foi destacada em um estudo realizado pela Universidade de Vanderbilt e pela Universidade Central da Flórida, que mostra a relação entre ataques digitais no setor de saúde e o aumento da taxa de mortalidade.

6. Os planos de contingência devem ser testados e aprimorados

Em algum momento as empresas consideraram uma pandemia como um cenário realista em uma avaliação de riscos ou análise de impacto nos negócios? Se a resposta for sim, certamente existem medidas para mitigar essa calamidade - caso contrário, a empresa estará sofrendo as consequências de ignorar essa condição.

Embora um cenário dessa natureza tenha baixa probabilidade de ocorrência, seu impacto é alto. Portanto, as empresas precisam usar abordagens baseadas no impacto empresarial para projetar medidas e planos de resposta, que buscam garantir a continuidade dos processos comerciais.

A pandemia também mostrou a necessidade de implementar, revisar, testar, melhorar e atualizar ferramentas como a Análise de Impacto nos Negócios (BIA), Avaliações de Riscos, Planos de Continuidade de Negócios (BCP), Planos de Recuperação (DRP), que considerem colaboradores, locais de trabalho, tecnologias e serviços críticos.

7. A continuidade das operações deve considerar a segurança digital

A velocidade com que medidas foram tomadas para a pandemia obrigou algumas empresas a fornecer medidas de conectividade, acesso e operação para seus colaboradores, mas essas medidas também consideraram segurança digital?

As mudanças como consequência da pandemia mostraram a necessidade de contar com condições de segurança para trabalhar em qualquer lugar. E mesmo que não correspondam às condições de um espaço físico, como um escritório, devem fornecer um nível de risco aceitável com base nas informações administradas.

Juntamente com essas condições, as medidas devem promover maior segurança em locais como o lar, bem como o uso de ferramentas de comunicação e dinâmicas de treinamento e/ou conscientização para colaboradores de empresas que abordem a importância da proteção de dados sensíveis, tanto pessoais como corporativos.

8. As crises também trazem oportunidades

O distanciamento social como consequência da pandemia nos forçou a realizar atividades diárias de uma forma diferente.

É provável que a crise de saúde mundial marque um antes e depois, no qual as repercussões atuais serão compostas por mais mudanças no futuro (quando o isolamento social terminar), tanto pessoal quanto coletivamente.

Crises como essa também podem ser usadas para apoiar iniciativas em todas as áreas. No caso das Tecnologias da Informação, trata-se de uma oportunidade para promover vários projetos de transformação digital.

No caso da segurança digital, essa mudança generalizada de ideias pode ser usada para promover mudanças organizacionais para a proteção de ativos e, em geral, espalhar ainda mais a cultura de segurança cibernética, além de aumentar a conscientização sobre o uso seguro da tecnologia, a qualquer hora e em qualquer lugar.